PT-2022-6849 · Oracle+10 · Oracle Graalvm Enterprise Edition+12
Zhiqiang Zang
·
Publicado
2022-01-18
·
Atualizado
2026-05-27
·
CVE-2022-21305
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE
Versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition
Descrição
O problema está relacionado a um estouro de inteiro no componente Hotspot do Oracle Java SE e do Oracle GraalVM Enterprise Edition. Essa vulnerabilidade, facilmente explorável, permite que um invasor não autenticado com acesso à rede por meio de vários protocolos comprometa o Oracle Java SE e o Oracle GraalVM Enterprise Edition, resultando em acesso não autorizado para atualizar, inserir ou excluir alguns dados acessíveis. A vulnerabilidade se aplica a implantações Java que carregam e executam código não confiável e dependem da sandbox do Java para segurança. Ela também pode ser explorada por meio de APIs no componente especificado, por exemplo, por meio de um serviço web que forneça dados às APIs.
Recomendações
Para as versões 7u321, 8u311, 11.0.13 e 17.0.1 do Oracle Java SE, atualize para uma versão que inclua a correção para este problema.
Para as versões 20.3.4 e 21.3.0 do Oracle GraalVM Enterprise Edition, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao componente Hotspot até que um patch esteja disponível.
Evite usar APIs no componente Hotspot para minimizar o risco de exploração.
Correção
Improper Access Control
Integer Overflow
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Java Platform
Linuxmint
Oracle Graalvm Enterprise Edition
Oracle Java Se
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu